如何对进程创建进行控制？

lghtly 驱动牛犊注册日期2004-10-14 最后登录2005-11-29 粉丝0 关注0 积分1分威望1点贡献值0点好评度0点原创分0分专家分0分加关注写私信	阅读：1401回复：5 如何对进程创建进行控制？楼主^# 更多只看楼主倒序阅读发布于：2004-12-04 14:44 如何HOOK NtCreateProcess？如何HOOK W32API CreateProcess？当我们启动一个新进程时，是那个进程调用的CreateProcess？还是NtCreateProcess？如何对进程创建进行控制？
	喜欢0 最新喜欢：回复

lghtly 驱动牛犊注册日期2004-10-14 最后登录2005-11-29 粉丝0 关注0 积分1分威望1点贡献值0点好评度0点原创分0分专家分0分加关注写私信	沙发^# 发布于：2004-12-05 10:15 请高手发言！！！
	回复(0) 喜欢(0)

fslife

驱动大牛

注册日期2004-06-07
最后登录2016-01-09
粉丝0
关注0
积分9分
威望49点
贡献值0点
好评度20点
原创分0分
专家分0分

加关注写私信

板凳^#

发布于：2004-12-05 11:08

你是不是要监控新开启的进程,如果是关于这个,sdk好像有一个对应的东西可以实现,有时间了可以帮你找一下原来的代码.

在交流中学习。。。

回复喜欢

fslife

驱动大牛

注册日期2004-06-07
最后登录2016-01-09
粉丝0
关注0
积分9分
威望49点
贡献值0点
好评度20点
原创分0分
专家分0分

加关注写私信

地板^#

发布于：2004-12-06 09:40

如何HOOK NtCreateProcess？
如何HOOK W32API CreateProcess？
当我们启动一个新进程时，是那个进程调用的CreateProcess？
还是NtCreateProcess？
如何对进程创建进行控制？

写一个驱动，在驱动中用下面的函数设置进程通知例程：

  NTSTATUS
  PsSetCreateProcessNotifyRoutine(
   IN PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine,
   IN BOOLEAN Remove
   );

   // Create event for user-mode processes to monitor
   extension->ProcessEvent = IoCreateNotificationEvent (&uszProcessEventString, &extension->hProcessHandle);

   // Clear it out
   KeClearEvent(extension->ProcessEvent);

   // Set up callback routines
   ntStatus = PsSetCreateProcessNotifyRoutine(ProcessCallback, FALSE);

[编辑 - 12/6/04 by fslife]

在交流中学习。。。

回复喜欢

lghtly 驱动牛犊注册日期2004-10-14 最后登录2005-11-29 粉丝0 关注0 积分1分威望1点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地下室^# 发布于：2004-12-07 08:12 这种方法好像并不能拦截NtCreateProcess()
	回复(0) 喜欢(0)

lghtly 驱动牛犊注册日期2004-10-14 最后登录2005-11-29 粉丝0 关注0 积分1分威望1点贡献值0点好评度0点原创分0分专家分0分加关注写私信	5楼^# 发布于：2004-12-07 08:13 当我们启动一个新进程时，是那个进程调用的CreateProcess？还是NtCreateProcess？如何对进程创建进行控制？
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

如何对进程创建进行控制？

最新喜欢：